Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Podatność ataku na nagłówek Host HTTP w aplikacjach WebClient i WebScheduler PcVue (wersje 15.0.0 do 16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie szkodliwych ładunków manipulujących działaniem serwera. Problem dotyczy konkretnych endpointów: /Authentication/ExternalLogin, /Authentication/AuthorizationCodeCallback oraz /Authentication/Logout.
W aplikacjach webowych GraphicalData i WebClient oprogramowania PcVue w wersjach od 12.0.0 do 16.3.3 brakuje atrybutów Secure i SameSite w ciasteczkach. Umożliwia to ataki przechwytywania sesji oraz ataki CSRF.
Serwer WWW nie ustawia prawidłowo niektórych nagłówków bezpieczeństwa HTTP w odpowiedziach wysyłanych do aplikacji klienckiej. Może to prowadzić do osłabienia ochrony przed atakami typu XSS, clickjacking czy inne zagrożenia związane z brakiem odpowiednich nagłówków.
Podatność XSS w usługach OAuth PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie złośliwego kodu na stronę błędu serwera OAuth. Atak wymaga nakłonienia uwierzytelnionego użytkownika do załadowania treści z zewnętrznej strony po nieudanym logowaniu.
Podatność w PcVue (wersje 12.0.0–16.3.3) powoduje, że domyślna konfiguracja IIS i ASP.NET dodaje nagłówki HTTP, które nie są usuwane podczas wdrażania usług sieciowych dla funkcji WebVue, WebScheduler, TouchVue i SnapVue. Umożliwia to niepotrzebne ujawnianie poufnych informacji o konfiguracji serwera.
Brak walidacji pochodzenia w WebSocketach w interfejsach WebVue, WebScheduler, TouchVue i SnapVue oprogramowania PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu nakłonienie uwierzytelnionego użytkownika do odwiedzenia złośliwej strony. Podatność dotyczy tylko endpointów GraphicalData/js/signalR/connect i GraphicalData/js/signalR/reconnect.
W module auth_jwt programu OpenSIPS przed wersją 3.6.4 występuje podatność na iniekcję SQL w funkcji jwt_db_authorize(). Atakujący może wysłać spreparowany token JWT ze złośliwym polem tag, które bez odpowiedniego oczyszczenia trafia do zapytania SQL, co pozwala na ominięcie uwierzytelniania JWT i podszycie się pod dowolnego użytkownika.
Podatność w Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 powoduje, że pamięć podręczna `ConfigKeyCache` używa tego samego klucza dla klucza głównego i klucza głównego tylko do odczytu podczas rozwiązywania kluczy typu funkcyjnego. W określonych warunkach czasowych użytkownik z ograniczonymi uprawnieniami może otrzymać z pamięci podręcznej pełny klucz główny, a zwykły użytkownik może otrzymać klucz główny tylko do odczytu.
Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 nie posiada ochrony CSRF dla endpointu AI Agent (`POST /apps/:appId/agent`). Atakujący może stworzyć złośliwą stronę, która po odwiedzeniu przez uwierzytelnionego użytkownika dashboardu wysyła żądania do tego endpointu, wykorzystując sesję ofiary.
GetSimpleCMS Community Edition w wersjach przed 3.3.22 zawiera podatność na trwałe XSS w funkcjonalności Theme to Components w pliku components.php. Wprowadzona przez administratora wartość w polu "slug" komponentu jest przechowywana bez odpowiedniego kodowania wyjścia, co pozwala na wykonanie dowolnego kodu JavaScript w interfejsie administracyjnym.
W podatności CVE-2026-3091 w Synology Presto Client przed wersją 2.1.3-0672 występuje niekontrolowany element ścieżki wyszukiwania, który pozwala lokalnym użytkownikom na odczyt lub zapis dowolnych plików oraz przeprowadzenie ataku typu denial-of-service podczas instalacji, poprzez umieszczenie złośliwego pliku DLL w tym samym katalogu co instalator.
W ImageMagick przed wersją 7.1.2-15 występuje wyciek pamięci w pliku `coders/ashlar.c`. Funkcja `WriteASHLARImage` alokuje strukturę, ale w przypadku wystąpienia wyjątku, pamięć nie jest prawidłowo zwalniana, co prowadzi do potencjalnego wycieku pamięci.
Podatność Open Redirect w funkcji RedirectSlashes biblioteki go-chi/chi w wersji 5.2.2 i nowszych umożliwia zdalnym atakującym przekierowanie ofiar na złośliwe strony przy użyciu domeny legalnej witryny.
W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem ochrony spinlock w powiadomieniach virtqueue dla urządzenia virtio-crypto. Problem występuje podczas uruchamiania polecenia benchmark openssl z wieloma procesami, co prowadzi do zawieszenia procesów openssl.
W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem licznika aktywnych połączeń w funkcji ksmbd_tcp_new_connection(). W przypadku niepowodzenia funkcji kthread_run(), transport jest zwalniany, co prowadzi do nieodpowiedniego zarządzania licznikiem active_num_conn.
W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do nieskończonej pętli w przypadku błędnej weryfikacji podpisu żądania SMB2. Problem występuje, gdy funkcja __process_request() nieprawidłowo ustawia wskaźnik do następnego polecenia, co skutkuje ciągłym przetwarzaniem tego samego błędnego żądania.
Podatność CVE-2025-8308 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie INFOREX - General Information Management System, co pozwala na ataki typu XSS poprzez nagłówki HTTP. Problem ten dotyczy wersji systemu od 2025 roku i wcześniejszych do 18 lutego 2026 roku.
W Wispotter, produkcie firmy Doruk Communication and Automation Industry and Trade Inc., występuje podatność związana z niewłaściwym ograniczeniem nadmiernych prób uwierzytelnienia, co umożliwia ataki typu brute force na hasła. Problem dotyczy wersji od 1.0 do przed v2025.10.08.1.
W podatności CVE-2025-7706 w oprogramowaniu Liderahenk występuje brak uwierzytelnienia dla krytycznej funkcji, co umożliwia zdalne włączenie kodu. Problem dotyczy wersji Liderahenk od 3.0.0 do 3.3.1 przed 3.5.0.
Podatność CVE-2025-8303 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w skrypcie nieruchomości EKA Software. Umożliwia to ataki typu Cross-Site Scripting (XSS).

